Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest czwartek, 28 marca 2024, 13:09

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 20 ] 
Autor Wiadomość
Post: niedziela, 16 maja 2010, 01:23 
Offline

Rejestracja: sobota, 3 kwietnia 2010, 23:35
Posty: 13
Witam, Mam problem z konfiguracją NND aby pozwalała na podłączenie pulpitu zdalnego komputerowi w sieci (WIN 2003 server ). Zainstalowałem na nowo NND firewoll standardowy nic nie robiłem z nim nie instalowałem innych pakietów.

W pliku /etc/iptables/*firewall

# pingi pozwalamy
$i -A INPUT -p icmp --icmp-type echo-request -j ACCEPT -m limit --limit 1/sec

pod tą linią dopisałem

iptables -I FORWARD --dport 3389 -j ACCEPT
iptables -I FORWARD -p tcp -d 192.168.1.11 --dport 5811 -j ACCEPT
iptables -t nat -A PREROUTING –i $EXTIF -p tcp --dport 5811 -j DNAT --to 192.168.1.11:5811

I dalej nie mogę się podłączyć pulpitem zdalnym do komputera z sieci zewnętrznej w sieci lan komputery łączą się za pomocą pulpitu

W konfiguracja pulpitu wpisuję adres IP rutera (internet DSL 2 karty sieciowe ) 95.22.442.145:5811 i nie działa

Proszę o pomoc co należy zrobić aby działał pulpit zdalny z windowsa


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 16 maja 2010, 03:02 
Offline
PGF

Rejestracja: wtorek, 27 czerwca 2006, 14:09
Posty: 2112
Lokalizacja: Poznań
/etc/iptables/*firewall bez gwiazdki.

Pierwsza regułka jest niepotrzebna. Jeżeli nie zmieniałeś domyślnego numeru portu na swoim W2003, to powinno to wyglądać tak:

iptables -I FORWARD -p tcp -d 192.168.1.11 --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING –i $EXTIF -p tcp --dport 3389 -j DNAT --to 192.168.1.11: 3389

i łączysz się po prostu po zewnętrznym IP, bez podawania portu, bo jest on domyślny.

Całość opisana w FAQ.

_________________
Dedykowane systemy CRM, e-commerce i witryny korporacyjne.
Software House Poznań


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 16 maja 2010, 09:27 
Offline

Rejestracja: sobota, 3 kwietnia 2010, 23:35
Posty: 13
ale przy moim pliku jest *firewall, a co kiedy będe chciał podłączać się z zewnątrz na więcej niż jeden WIN w mojej sieci??


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 16 maja 2010, 11:15 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
To co widzisz jako nazwę z gwiazdką (w kolorze zielonym, jeśli monitor jest kolorowy) oznacza plik wykonywalny. Gwiazdka nie jest częścią nazwy.
Jeśłi będzisz chciał forwardować więcej zdalnych pulpitów to musisz pozmieniać w tych regułach porty. Docelowy musi być 3389, ale na bramce inny.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 16 maja 2010, 12:00 
Offline

Rejestracja: sobota, 3 kwietnia 2010, 23:35
Posty: 13
Jak pozmieniać, o co chodzi z tym docelowym i na bramce inny napisz przykład na dostęp do pulpitu zdalnego do 3 komputerów.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 16 maja 2010, 13:45 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
: [/] [] ()
iptables -I FORWARD -p tcp -d 192.168.1.11 --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING –i $EXTIF -p tcp --dport 3389 -j DNAT --to 192.168.1.11: 3389
iptables -I FORWARD -p tcp -d 192.168.1.11 --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING –i $EXTIF -p tcp --dport 3390 -j DNAT --to 192.168.1.11: 3389
iptables -I FORWARD -p tcp -d 192.168.1.11 --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING –i $EXTIF -p tcp --dport 3391 -j DNAT --to 192.168.1.11: 3389

Przecie to proste jak drut.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 16 maja 2010, 15:01 
Offline

Rejestracja: sobota, 3 kwietnia 2010, 23:35
Posty: 13
Gdzie i jak udostępnić połączenie dla kompóterów po adresie ip i mac aby inne nie mogły się łączyć?


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 16 maja 2010, 16:52 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
: [/] [] ()
iptables -A INPUT -p tcp -i eth0 --dport PORT -s NUMER_IP -j ACCEPT

Te wszystkie reguły powinieneś mieć w jednym bloku w pliku firewall. Najlepiej zaraz po komentarzu "na pingi pozwalamy". Najpierw reguły INPUT a potem FORWARD i PREROUTING.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 16 maja 2010, 17:10 
Offline

Rejestracja: sobota, 3 kwietnia 2010, 23:35
Posty: 13
dodałem do pliku firewall tak jak napisałeś, i próbuje podłączyć się zdalnie przez I PLUSA i wyskakuje komunikat TEN KOMPUTER NIE MOŻE PODŁĄCZYĆ SIĘ ZDALNIE


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 16 maja 2010, 17:26 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Pisz trochę dokładniej. Jeśli dodałeś wszystkie podane reguły, to oczywiście, że z iPlusa się nie połączysz, bo tam jest dynamicznie przydzielane IP.
Jeśłi ostatniej reguły nie wpisywałeś to przyczyna może być inna.
1. Nie restartowałeś firewalla.
2. Nie wpisałeś na kliencie portu, forwardowanego.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 16 maja 2010, 17:42 
Offline

Rejestracja: sobota, 3 kwietnia 2010, 23:35
Posty: 13
w rc.conf na ssh dałem 1

iptables -A INPUT -p tcp -i eth0 --dport 3389 -s 85.48.143.123 -j ACCEPT
iptables -I FORWARD -p tcp -d 192.168.1.2 --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING –i $EXTIF -p tcp --dport 3389 -j DNAT --to 192.168.1.2: 3389

zapisałem , zrobiłem reboot ale nie zrobiłem: Nie wpisałeś na kliencie portu, forwardowanego ??


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 16 maja 2010, 18:06 
Offline

Rejestracja: sobota, 3 kwietnia 2010, 23:35
Posty: 13
zainstalowałem teraz na nowo NND gdybyś mógł napisać co po kolei zrobić abym mógł się zdalnie łączyć z komputerem w sieci przez I PLUSA czy Neostrade. Fajnie by było gdybym mógł wpisać mac adresy kart sieciowych które mogą się łączyć do sieci z zewnątrz.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 16 maja 2010, 18:18 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Zacznijmy od tego, że w twoim przykładzie IP w input należy do sieci Orange (Hiszpania) i jest to numer dynamiczny. Wpisanie go spowoduje, że zapewne się ze swoim serwerem nie połączysz, bo tego numeru ponownie nie dostaniesz.
W ogóle, jeśli chcesz się z tą siecią łączyć z neostrady i z iPlusa, to wpis INPUT musisz usunąć. To działa tylko ze statycznymi IP typu DSL, a w neo po 24 godzinach dostaniesz inny IP. MAC to możesz ewentualnie w sieci lokalnej filtrować, a nie przez internet. Przez internet kontaktują się zdalne komputery za pomocą tcp/ip i nie mają ze sobą kontaktu fizycznego, więc nie przekazują sobie adresów MAC.
W windowsowym pulpicie zdalnym jest wybierany domyśłnie port 3389 i w podanym przypadku to jest ok, ale gdybyś forwardowanych maszyn miał więcej i używał np. portu 3391, to musiałbyś go wpisać. np. adres.zewnetrzny.sieci.pl:3391.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 16 maja 2010, 18:25 
Offline

Rejestracja: sobota, 3 kwietnia 2010, 23:35
Posty: 13
Czyli zaczynam od:
IP ROUTERA NND 95.51.123.145
IP komputera w sieci win2003 lub XP 192.168.1.12 (stale IP)
NND po instalacji
odpalam plik firewall wpisuje:

iptables -I FORWARD -p tcp -d 192.168.1.12 --dport 3389 -j ACCEPT
iptables -t nat -A PREROUTING –i $EXTIF -p tcp --dport 3389 -j DNAT --to 192.168.1.12: 3389

zapisuje, reboot

i powinno działać z iPLUSA po wpisaniu w połączeniu IP : 95.51.123.145


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 16 maja 2010, 19:08 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Wpis 192.168.1.12:3389 bez spacji po dwukropku.
Tak, powinno działać z dowolnego hosta w internecie, jeśli jest to wpisane w odpowiednim miejscu.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 16 maja 2010, 19:35 
Offline
Użytkownik

Rejestracja: środa, 23 stycznia 2008, 17:32
Posty: 691
Lokalizacja: Pabianice
A z VNC probowales ?
http://www.bluelan.eu/forum/viewtopic.php?p=445#445


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 16 maja 2010, 23:08 
Offline

Rejestracja: sobota, 3 kwietnia 2010, 23:35
Posty: 13
Dziękuje za pomoc. Już mogę się podłączyć :

iptables -A INPUT -p tcp -i eth0 --dport 5050 -s 85.48.143.123 -j ACCEPT - Z TYM CZY BEZ TEGO TAK SAMO DZIAŁA JAK ROZWIĄZAĆ TEN PROBLEM ŻEBY DZIAŁAŁO PODŁĄCZENIE TYLKO DLA WYBRANEGO IP ??

iptables -I FORWARD -p tcp -d 192.168.1.12 --dport 5050 -j ACCEPT
iptables -t nat -A PREROUTING –i $EXTIF -p tcp --dport 5050 -j DNAT --to 192.168.1.12: 5050


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 16 maja 2010, 23:42 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Jeśłi dodasz regułkę na INPUT ze wskazaniem na konkretny IP, to będzie działać tylko z tego IP. Inaczej mówiąc - jeśli masz serwer oraz zdalny windows w pracy, a w domu neostradę lub wspomniany przez ciebie iPlus to tego rozwiązanie nie możesz zastosować. Bo się nie połączysz.
Jeśłi wpiszesz ten IP, który podajesz - 85.48.143.123 - to zapewne się nie połączysz, bo to numer z dynamicznej puli Orange i użytkownik może nieprędko dostać ten sam IP.
: [/] [] ()
[maciek@dom ~]$ nslookup
> 85.48.143.123
Server:         194.204.152.34
Address:        194.204.152.34#53

Non-authoritative answer:
123.143.48.85.in-addr.arpa      name = 123.pool85-48-143.dynamic.orange.es.

Authoritative answers can be found from:
143.48.85.in-addr.arpa  nameserver = dnsa01m-jca4.net.orange.es.
143.48.85.in-addr.arpa  nameserver = dnsa01m-men4.net.orange.es.
dnsa01m-jca4.net.orange.es      internet address = 85.62.243.4
dnsa01m-men4.net.orange.es      internet address = 85.62.240.4

Czasem oczywiście warto dla bezpieczeństwa zamknąć dostęp do jakichś usług i zezwolić tylko niektórym IP. Ale w tym wypadku to kiepsko uzasadnione.

PS. Cyberduck - VNC kontra pulpit zdalny nie da się porównać. Pulpit zdalny to jest rozwiązania pozwalające pracować i względnie bezpieczne. VNC muli się strasznie na słabych łączach.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: niedziela, 16 maja 2010, 23:55 
Offline

Rejestracja: sobota, 3 kwietnia 2010, 23:35
Posty: 13
Chodzi mi o to że jak dopiszę tę regułkę : iptables -A INPUT -p tcp -i eth0 --dport 5050 -s 85.48.143.123 -j ACCEPT - to NND pozwala łączyć się z całkiem innego IP


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: poniedziałek, 17 maja 2010, 00:25 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Słusznie. To zadziała w przypadku portu na serwerze, pomyliłem się.
: [/] [] ()
iptables -I FORWARD -p tcp -s NUMER_IP -d 192.168.1.12 --dport 5050 -j ACCEPT

Zamiast reguły INPUT w tym wypadku trzeba zmodyfikować regułę FORWARD.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 20 ] 

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 21 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl